Protocolos de Autenticación

Índice
1. Autenticación 1
1.1. Tipos de autenticación . . . . . . . . . . . . . . . . . . . . . . 3
1.2. Autenticación mediante el uso de Kerberos . . . . . . . . . . 3
1.3. RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.4. TACACS+ (Terminal Access Controller Access Control Sys-
tem Plus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.5. Protocolo punto a punto (Point to Point Protocol—PPP) . . . . 7
1.5.1. Protocolo de autenticación (PAP) . . . . . . . . . . . . 7
1.5.2. Protocolo de autenticación de intercambio de señales
(CHAP) . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1. Autenticación
La autenticación es la técnica mediante la cual un proceso verifica que
su compañero de comunicación sea quien se supone que debe ser y no un
impostor.
Es muy difícil verificar la identidad de un proceso remoto en la presen-
cia de un intruso activo y malicioso, además de que se requieren protocolos
complejos basados en la criptografía.
Vale la pena señalar que algunas personas confunden la autorización
con la autenticación. Esta última tiene que ver con la interrogante de si
usted realmente se está comunicando con un proceso específico.

1
 La autorización tiene que ver con lo que ese proceso tiene permitido
hacer.
Por ejemplo, supongamos que un proceso cliente se contacta con un
servidor de archivos y dice:

“Soy el proceso de Scott y deseo eliminar el archivo librococina.old”.

Ahora bién, desde el punto de vista del servidor de archivos, hay que
responder a dos preguntas:

1. ¿Es éste realmente el proceso de Scott (autenticación)?

2. ¿Tiene Scott permitido eliminar librococina.old (autorización)?

Sólo después de contestar estas preguntas de manera afirmativa y sin

ambigüedad, se puede realizar la acción solicitada.
En realidad, la primera pregunta es la clave. Una vez que el servidor
de archivos sabe con quién está hablando, verificar la autorización es sólo
cuestión de buscar entradas en las tablas locales o en las bases de datos.
Éste es el modelo general que utilizan básicamente todos los protocolos
de autenticación.
Alice empieza por enviar un mensaje ya sea a Bob o a un KDC (Centro
de Distribución de Claves, Key Distribution Center) de confianza, el cual se
espera sea honesto. A continuación siguen otros intercambios de mensajes
en varias direcciones. Conforme se envían estos mensajes, es probable que
Trudy pueda interceptarlos, modificarlos o repetirlos para engañar a Alice
y a Bob o simplemente para dañar el trabajo.
Sin embargo, una vez que se completa el protocolo, Alice está segura
de que está hablando con Bob y él está seguro de que está hablando con
ella. Asimismo, en la mayoría de los protocolos, ellos dos también habrán
establecido una clave de sesión secreta para utilizarla en la próxima con-
versación.
En la práctica, por cuestiones de desempeño, todo el tráfico de datos se
encripta mediante el uso de criptografía de clave simétrica (por lo general
AES o triple DES), aunque la criptografía de clave pública se utiliza mucho
para los protocolos de autenticación mismos y para establecer la clave
de sesión.

2
 El objetivo de utilizar una nueva clave de sesión elegida al azar para
cada nueva conexión es minimizar la cantidad de tráfico que se envía con
las claves secretas o públicas del usuario, para reducir la cantidad de texto
cifrado que un intruso puede obtener, y para minimizar el daño hecho si
un proceso falla y su volcado de memoria cae en las manos equivocadas.
Por fortuna, la única clave presente será entonces la de sesión. Hay que
tener cuidado de poner en cero todas las claves permanentes después de
que se haya establecido la sesión.

1.1. Tipos de autenticación

Los métodos de autenticación están en función de lo que utilizan para
la verificación y estos se dividen en tres categorías:

1. Sistemas basados en algo conocido. Ejemplo, un password (Unix) o

passphrase (PGP).

2. Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad,

una tarjeta inteligente(smartcard), dispositivo usb tipo epass token,
Tarjeta de coordenadas, smartcard o dongle criptográfico.

3. Sistemas basados en una característica física delante usuario o un acto

involuntario del mismo. Ejemplo, verificación de voz, de escritura, de
huellas, de patrones oculares.

1.2. Autenticación mediante el uso de Kerberos

Kerberos es un protocolo de autenticación que se utiliza en muchos sis-
temas reales (incluyendo Windows 2000 y versiones posteriores); está ba-
sado en una variante de Needham-Schroeder. Usa un tercero de confianza,
denominado “centro de distribución de claves” (KDC, por sus siglas en
inglés: Key Distribution Center), el cual consiste de dos partes lógicas se-
paradas: un “servidor de autenticación” (AS o Authentication Server) y un
“servidor emisor de tickets” (TGS o Ticket Granting Server), como se mues-
tra en la Figura 1. El SS se refiere al Servidor de Servicio (Service Server).

3
 Figura 1: Funcionamiento de Kerberos.

Kerberos mantiene una base de datos de claves secretas; cada entidad

en la red —sea cliente o servidor— comparte una clave secreta conocida
únicamente por él y Kerberos. El conocimiento de esta clave sirve para pro-
bar la identidad de la entidad. Para una comunicación entre dos entidades,
Kerberos genera una clave de sesión, la cual pueden usar para asegurar sus
problemas.
Su nombre proviene del perro de múltiples cabezas de la mitología grie-
ga que custodiaba la entrada a Hades (se supone que para mantener fuera
a las personas indeseables).
Kerberos se diseñó en el MIT para permitir que los usuarios de esta-
ciones de trabajo accedieran a los recursos de red de una forma segura. Su
mayor diferencia respecto a Needham-Schroeder es la suposición de que
todos los relojes están bien sincronizados.
El protocolo ha pasado por varias iteraciones. V5 es la versión más uti-
lizada en la industria y se define en el RFC 4120. La versión anterior, V4, se
retiró después de haber encontrado varias fallas graves.
V5 presenta una mejora con respecto a V4 con muchos cambios peque-
ños al protocolo y ciertas características mejoradas, como el hecho de que
ya no depende del DES, que ahora es obsoleto.

4
 Puesto que los diseñadores de Kerberos no esperaron que todo el mun-
do confiara en un solo servidor de autenticación, establecieron reglas pa-
ra tener múltiples dominios (realms), cada uno con su propio AS y TGS.
Para obtener un ticket para un servidor de un dominio distante, alguien
podría solicitar a su propio TGS un ticket aceptado por el TGS en el do-
minio distante. Si el TGS distante se ha registrado con el TGS local (de la
misma manera en que lo hacen los servidores locales), este último le dará
a un usuario un ticket válido en el TGS distante. Así el usuario puede ha-
cer negocios allá, como obtener tickets para servidores de ese dominio. Sin
embargo, hay que tener en cuenta que para que las partes de dos dominios
hagan negocios, cada una debe confiar en el TGS de la otra. De lo contrario,
no podrán hacer negocios.

1.3. RADIUS
El protocolo RADIUS para autenticar usuarios es uno de los sistemas
más antiguos usados en Internet. El protocolo ha sido una plataforma es-
tándar desde la era de las conexiones de marcado a Internet.
RADIUS ejecuta un programa de software en un servidor. El servidor
suele utilizarse exclusivamente para la autenticación RADIUS. Cuando un
usuario intenta conectarse a la red, un programa cliente de RADIUS dirige
todos los datos de usuario al servidor RADIUS para la autenticación.
El servidor aloja los datos de autenticación del usuario en un formato
encriptado y envía una respuesta de paso o rechazo de nuevo a la platafor-
ma de conexión. Por tanto, la autenticación se establece o se rechaza. Si se
rechaza, el usuario simplemente intenta de nuevo.
Cuando se haya establecido, la interacción RADIUS termina. Las ser-
vicios de red adicionales que requieren autenticación son manejados por
otros protocolos, si es necesario.
Explicación de Funcionamiento de RADIUS:

1. El usuario inicia la autenticación PPP (Protocolo Punto a Punto) al

NAS (Servidor de Acceso de Red).

2. NAS le pedirá que ingrese el nombre de usuario y la contraseña (en

caso de Protocolo de autenticación de contraseña [PAP]) o la inte-

5
 Figura 2: Funcionamiento de RADIUS.

gración (en caso de Protocolo de confirmación de aceptación de la

contraseña [CHAP]).

3. Contestaciones del usuario.

4. El cliente RADIUS envía el nombre de usuario y la contraseña encrip-

tada al servidor de RADIUS.

5. El servidor RADIUS responde con Aceptar, Rechazar o Impugnar.

6. El cliente RADIUS actúa dependiendo de los servicios y de los pará-

metros de servicios agrupados con Aceptar o Rechazar.

1.4. TACACS+ (Terminal Access Controller Access Control

System Plus)
El protocolo de autenticación TACACS+ fue desarrollado a partir de la
experiencia Cisco con RADIUS. Muchas de las características efectivas de
RADIUS se conservaron en TACACS+, mientras que los mecanismos más
robustos fueron creados para manejar los nuevos niveles de seguridad que
demandaban las redes modernas.
Una mejora clave en el diseño TACACS+ es la encriptación completa
de todos los parámetros usados en el proceso de autenticación. RADIUS
sólo encripta la contraseña, mientras que TACACS+ también encripta el
nombre de usuario y otros datos asociados (Figura 3).

6
 Figura 3: TACACS+.

Además, RADIUS es un protocolo de autenticación independiente, mien-

tras que TACACS+ es escalable. Es posible aislar sólo determinados as-
pectos de autenticación de TACACS+ mientras implementa otros protoco-
los para capas adicionales del servicio de autenticación. Por tanto, Se sue-
le combinar con Kerberos para sistemas de autenticación particularmente
fuertes.
RADIUS vs TACACS (Figura 4):

1.5. Protocolo punto a punto (Point to Point Protocol—PPP)

El PPP le permite autenticar las conexiones mediante el uso del protoco-
lo de autenticación de contraseña (PAP, Password Authentication Protocol) o
el más eficaz protocolo de autenticación de intercambio de señales (CHAP,
Challenge Handshake Authentication Protocol).

1.5.1. Protocolo de autenticación (PAP)

PAP es un proceso muy básico de dos vías. No hay encriptación: el nom-

bre de usuario y la contraseña se envían en texto sin cifrar. Si esto se acepta,

7
 Figura 4: RADIUS vs TACACS+.

la conexión se permite. CHAP es más seguro que PAP. Implica un intercam-

bio de tres vías de un secreto compartido.
La fase de autenticación de una sesión PPP es opcional. Si se usa, se
puede autenticar el peer, luego de que el LCP establezca el enlace y elija
el protocolo de autenticación. Si se utiliza, la autenticación se lleva a cabo
antes de que comience la fase de configuración del protocolo de la capa de
red.
Las opciones de autenticación requieren que la parte del enlace que rea-
liza la llamada introduzca la información de autenticación. Esto ayuda a
garantizar que el usuario tenga el permiso del administrador de la red para
efectuar la llamada. Los routers pares intercambian mensajes de autentica-
ción.

1.5.2. Protocolo de autenticación de intercambio de señales (CHAP)

A diferencia de PAP, que sólo autentica una vez, CHAP realiza compro-
baciones periódicas para asegurarse de que el nodo remoto todavía posee
un valor de contraseña válido. El valor de la contraseña es variable y cam-
bia impredeciblemente mientras el enlace existe.

8
 Después de completar la fase de establecimiento del enlace PPP, el rou-
ter local envía un mensaje de comprobación al nodo remoto.
El nodo remoto responde con un valor que se calcula con la contraseña
y el mensaje de comprobación.
El router local verifica la respuesta y la compara con su propio cálculo
del valor esperado. Si los valores concuerdan, el nodo de inicio acusa recibo
de la autenticación. En caso contrario, el nodo de inicio termina la conexión
inmediatamente.
El CHAP brinda protección contra los intentos de reproducción a través
del uso de un valor de comprobación variable que es exclusivo e impredeci-
ble. Como la comprobación es única y aleatoria, el valor resultante también
es único y aleatorio. El uso de comprobaciones reiteradas limita el tiempo
de exposición ante cualquier ataque. El router local o un servidor de auten-
ticación de terceros tiene el control de la frecuencia y la temporización de
las comprobaciones (Figura 5).

Figura 5: Funcionamiento CHAP.

9
Referencias
[1] TANENBAUM,A. S. & W ETHERALL , D. J. (2012). Redes de compu-
tadoras.. México: Pearson Educación.

[2] W IKIPEDIA. (2020). Authentication. Febrero 19, 2020, Wikipedia. Sitio

web: https://en.wikipedia.org/wiki/Authentication

10